樣本鏈接：https://share.weiyun.com/777ffc0ca03cfd4b9c7b59ab7a87816f （密碼：Vr4b）
 
分析行為：

檢測是否被調試  4013B9

獲取版本，比較是否新版 4014AA

獲取外網IP及IP歸屬地

判斷歸屬地是否 內蒙古【是則退出，否則繼續】

檢測 360Tray.exe（360） QQPCTray.exe（電腦管家）
kxetray.exe（金山毒霸） PowerRemind.exe（影子系統）
是否運行，是則提示用戶關閉

檢測影子系統目錄及桌面是否存在游戲菜單.* //判斷運行環境是否虛擬環境，例如網吧

檢測 vmtoolsd.exe進程及目錄 401DCF  //是則提示一串不友好的信息

檢測 破解工具包.exe  吾愛破解工具包.exe 及桌面是否存在 破解工具包.*

檢測 桌面是否存在 XueTr.*

屏幕截圖.png，放C:\WINDOWS\ 再轉.jpg

將自身添加到系統啟動項里

篡改系統關聯圖標（指定圖標）
EXE（Yule6.ico） JPG（Yule1.ico） PNG（Yule2.ico） BMP（Yule3.ico）
ICO（Yule4.ico） GIF（Yule5.ico） BAT（Yule4.ico） COM（Yule3.ico）
CMD（Yule2.ico） VBS（Yule1.ico） 
DLL SYS INI LNK MP3 MP4 WAV WMV AVI ZIP RAR TXT SCR ISO GHO BIN
7Z JS（Yule.ico）
 
結束taskmgr.exe explorer.exe進程

桌面創建300個名為 UR NEXT UR NEXT UR NEXT 的文件

禁用任務管理器